Twitterに重大な不具合が発生していたことが明らかになった。Twitterは現地時間3日、同社のシステムに欠陥が見つかり、ユーザーのパスワードが暗号化されず、内部ログに保存されていたと発表した。
We recently found a bug that stored passwords unmasked in an internal log. We fixed the bug and have no indication of a breach or misuse by anyone. As a precaution, consider changing your password on all services where you’ve used this password. https://t.co/RyEDvQOTaZ
— Twitter Support (@TwitterSupport) 2018年5月3日
本来、Twitterのパスワードは設定時にハッシュ化され、ランダム英数字に置換された上で保存されるため、社内の人間でも閲覧することはできないのだが、今回の不具合ではハッシュ化される前に内部ログに保存されてしまっていたという。
同不具合はすでに修正済みで、内部ログからユーザーのパスワードを削除しているとのこと。社内の人間でも閲覧することはできなくなっている。また、現時点ではユーザーのパスワードが外部に流出した形跡はないというが、Twitterは念のため、利用者に対してパスワードの変更や2段階認証/2要素認証「ログイン認証」の導入を推奨している。
現在は、Twitterのアプリ版やウェブ版を立ち上げると、下記のような「アカウントを安全に保ち続けましょう」というスプラッシュ画面が表示されるように。
Twitterアカウントのパスワード設定ではマスク技術を使い、社内で誰にもわからないようにします。最近、内部ログでマスクをかけないままパスワードを保管するバグが見つかりました。そのバグは修正済みで、誰かが違反または誤用している痕跡はありません。十分な注意が必要ですので、このパスワードを使用したサービスがあれば、パスワードの変更をご検討ください。
- Twitterのパスワードを変更して、他サービスでも同じパスワードを使用している場合は、そちらもパスワードの変更を。
- 新しいパスワードは、他サービスで利用していない強力なパスワードを設定してください。
- 2段階認証を有効化してください。アカウントのセキュリティの向上に役立ちます。
- パスワードマネージャーを利用して、独自の強固なパスワードを作成してください。
同画面からパスワードの変更が可能。また、アプリ内の設定項目「設定とプライバシー」からもできるようになっている
同不具合の対象となるユーザーは日本を含む全世界で3.3億人にも上るという。もちろん、当記事を読んでいる方も対象となっているため、万が一に備えてぜひパスワードの変更を。
